shiro数据库权限表怎么设计？具体字段和关联关系怎么写？

Shiro是一个功能强大且易于使用的Java安全框架,它提供了认证、授权、加密和会话管理等功能，在许多实际应用中，权限数据存储在数据库中，以便实现动态权限管理，下面将详细介绍如何使用Shiro与数据库集成实现权限管理。

我们需要设计数据库表结构,通常至少需要三个表：用户表（user）、角色表（role）和权限表（permission），用户表存储用户基本信息，角色表存储角色信息，权限表存储具体的权限标识，为了建立用户、角色和权限之间的多对多关系，还需要两个中间表：用户角色表（user_role）和角色权限表（role_permission），以下是表结构的详细设计：

用户表（user）：
| 字段名 | 类型 | 描述 |
|——–|——|——|
| id | bigint | 主键，自增 |
| username | varchar(50) | 用户名，唯一 |
| password | varchar(100) | 密码，加密存储 |
| salt | varchar(32) | 密码盐值 |
| enabled | tinyint | 是否启用，1启用0禁用 |

角色表（role）：
| 字段名 | 类型 | 描述 |
|——–|——|——|
| id | bigint | 主键，自增 |
| name | varchar(50) | 角色名称，唯一 |
| description | varchar(100) | 角色描述 |

权限表（permission）：
| 字段名 | 类型 | 描述 |
|——–|——|——|
| id | bigint | 主键，自增 |
| name | varchar(50) | 权限名称，唯一 |
| resource | varchar(100) | 资源标识 |
| action | varchar(50) | 操作类型（如create、read、update、delete） |

用户角色表（user_role）：
| 字段名 | 类型 | 描述 |
|——–|——|——|
| user_id | bigint | 用户ID，外键关联user.id |
| role_id | bigint | 角色ID，外键关联role.id |

角色权限表（role_permission）：
| 字段名 | 类型 | 描述 |
|——–|——|——|
| role_id | bigint | 角色ID，外键关联role.id |
| permission_id | bigint | 权限ID，外键关联permission.id |

设计好数据库表结构后,接下来需要创建对应的实体类和DAO层接口，实体类如User、Role、Permission等，需要包含表的字段和对应的getter/setter方法，DAO层接口需要定义基本的CRUD操作，以及查询用户角色和权限的方法。

我们需要自定义Realm类,继承自AuthorizingRealm，并重写两个核心方法：doGetAuthenticationInfo（认证）和doGetAuthorizationInfo（授权），在认证方法中，根据用户名查询用户信息，验证密码；在授权方法中，根据用户ID查询其拥有的角色和权限，并封装成AuthorizationInfo返回。

在认证方法中,首先通过用户名查询用户是否存在，然后获取用户的密码和盐值，使用相同的加密算法（如MD5+盐）对输入的密码进行加密，与数据库中的密码比对，如果验证通过，返回SimpleAuthenticationInfo对象，包含用户信息、凭证和盐值。

在授权方法中,首先通过用户ID查询其拥有的所有角色，再通过角色ID查询每个角色拥有的权限，将角色和权限信息封装到SimpleAuthorizationInfo对象中，通过addRole()和addStringPermission()方法添加，Shiro会根据这些信息进行权限验证。

配置Shiro时,需要在Spring配置文件中配置Shiro的SecurityManager，包括Realm、缓存管理器等，同时需要配置ShiroFilterFactoryBean，定义URL的拦截规则，如anon表示匿名访问，authc表示需要认证，perms表示需要特定权限等。

在实际应用中,还需要考虑密码加密的问题，Shiro提供了多种加密算法，如MD5、SHA、BCrypt等，推荐使用MD5+盐的方式，并在注册用户时生成随机盐值，与密码一起存储到数据库中，验证时，使用相同的盐值对输入密码进行加密后比对。

为了提高性能,可以引入缓存机制，如Ehcache或Redis，缓存用户的角色和权限信息，避免每次请求都查询数据库，Shiro提供了CacheManager接口，可以通过配置实现缓存集成。

对于动态权限管理,可以通过定期刷新缓存或监听数据库变化的方式，确保权限信息的实时性，可以在修改角色或权限时，主动清除相关用户的缓存，使其重新加载最新权限。

在实现过程中,需要注意异常处理和日志记录，对于认证失败、权限不足等情况，需要给出明确的提示，并记录相关日志，便于排查问题，要确保数据库操作的事务一致性，避免出现数据不一致的情况。

测试是必不可少的环节,需要编写单元测试和集成测试，验证认证和授权流程是否正确，测试用例应包括正常登录、错误密码、无权限访问、有权限访问等各种场景，确保系统的安全性和稳定性。

相关问答FAQs：

1. 问：Shiro中如何实现动态权限刷新？
   答：可以通过监听数据库变化或定期任务来刷新权限缓存，具体做法是，在修改角色或权限时，调用SecurityUtils.getSubject().logout()使用户下线，或使用CacheManager清除相关用户的缓存，可以结合Spring的@CacheEvict注解，在权限数据变更时自动清除缓存。

2. 问：Shiro的密码加密方式有哪些，如何选择？
   答：Shiro提供了多种密码加密方式，如MD5、SHA、BCrypt等，MD5和SHA是哈希算法，速度快但容易被彩虹表破解，建议加盐使用；BCrypt是自适应哈希算法，内置盐值，安全性更高但计算稍慢，对于安全性要求高的系统，推荐使用BCrypt；对于性能要求高且能保证盐值安全的情况，可以使用MD5+盐，具体选择需根据业务场景和安全需求权衡。